สัมภาษณ์ Ivica Delic เกี่ยวกับผู้เชี่ยวชาญ WordPress & ความปลอดภัย
เผยแพร่แล้ว: 2019-09-05จนถึงตอนนี้ เราได้สัมภาษณ์เฉพาะผู้ที่เข้าใจและทำงานในแอปพลิเคชันและความปลอดภัยของ WordPress เราเคยได้ยินเสียงของ ผู้ขาย มาโดยตลอด อย่างไรก็ตาม ในการสัมภาษณ์ครั้งนี้ เราได้ใช้แนวทางที่แตกต่างออกไป เราได้สัมภาษณ์ Ivica Delic ผู้เชี่ยวชาญด้าน WordPress เกี่ยวกับความปลอดภัย ขอบเขตของการสัมภาษณ์ครั้งนี้คือการทำความเข้าใจให้มากขึ้นว่าผู้เชี่ยวชาญ WordPress ที่ซึ่งความปลอดภัยอาจไม่ใช่ทีมของพวกเขา มองเห็นและเข้าใจผลิตภัณฑ์และบริการด้านความปลอดภัยได้อย่างไร บทสัมภาษณ์นี้ยังช่วยให้เราเข้าใจว่าเราจะปรับปรุงจุดไหนได้บ้าง และผู้เชี่ยวชาญเหล่านี้ทำอะไรเพื่อรักษาเว็บไซต์ของลูกค้าให้ปลอดภัย
Ivica Delic ทำงานร่วมกับ WordPress มาตั้งแต่ปี 2011 และได้ร่วมก่อตั้ง FreelancersTools.com เขาได้เป็นอาสาสมัครในชุมชน WordPress และเข้าร่วมและนำเสนอใน WP Meetups เกี่ยวกับการเร่งความเร็วเว็บไซต์ WordPress Ivica เริ่มกลุ่ม Facebook ยอดนิยมหลายกลุ่มในหัวข้อ WordPress ต่างๆ เขาเป็นผู้ดูแลระบบในกลุ่ม Facebook มากกว่า 25 กลุ่มซึ่งมีสมาชิกรวมกันมากกว่า 150,000 คน Ivica สำเร็จการศึกษาระดับปริญญาโทด้านเศรษฐศาสตร์ และหลังจาก 20 ปีของการบริหารทีมในอุตสาหกรรมการธนาคาร เขาได้ร่วมก่อตั้ง Confida ซึ่งเป็นบริษัทการตลาดดิจิทัลที่มุ่งเน้นการช่วยเหลือลูกค้าในการจัดการเว็บไซต์ WordPress และความต้องการด้านการตลาดดิจิทัล
สัมภาษณ์
Q1: อะไรคือแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย 5 ข้อแรกที่คุณใช้ / ติดตามเมื่อคุณตั้งค่าเว็บไซต์ WordPress ใหม่?
อย่างแรกคือการเลือกโฮสติ้ง WordPress ที่ดีและเชื่อถือได้ ฉันได้ทำงานกับโฮสต์เว็บจำนวนมากและมีโฮสต์ที่ดีมากมาย ฉันใช้ SiteGround สำหรับงานส่วนใหญ่ของฉัน
แนวทางปฏิบัติที่ดีที่สุดอันดับสองคือการใช้กลยุทธ์การสำรองข้อมูลที่ดี ฉันมักจะใช้บริการออนไลน์เมื่อทำได้ เช่น BlogVault ทำให้สามารถจัดเก็บข้อมูลสำรองไว้นอกสถานที่และในที่ปลอดภัยได้
จากนั้นฉันก็ติดตั้งเครื่องมือรักษาความปลอดภัยและปลั๊กอินของ WordPress จำนวนหนึ่ง ฉันแนะนำ MalCare และ WP Activity Log เป็นแนวป้องกันสุดท้ายของเว็บไซต์ให้กับลูกค้าของเราทุกคน
แนวทางปฏิบัติที่ดีที่สุดสองข้อที่เหลือคือคำแนะนำสำหรับผู้ใช้ของเรา ใช้รหัสผ่าน WordPress ที่รัดกุมและไม่ซ้ำใคร และคอยอัปเดตคอร์ ธีม ปลั๊กอิน PHP และซอฟต์แวร์ทั้งหมดบนเว็บเซิร์ฟเวอร์และคอมพิวเตอร์ของคุณอยู่เสมอ หากเป็นไปได้ ให้ใช้ซอฟต์แวร์ป้องกันไวรัส/ป้องกันมัลแวร์
ไตรมาสที่ 2 คุณพบว่าปลั๊กอินและบริการความปลอดภัยของ WordPress ง่ายต่อการติดตั้งและใช้งานหรือไม่?
เราได้ทดสอบปลั๊กอินและเครื่องมือความปลอดภัยมากมายในช่วงหลายปีที่ผ่านมา มีบางอย่างที่ง่ายต่อการใช้งานและใช้งาน อย่างไรก็ตาม บางตัวใช้งานยากมากและพวกเขากำลังทำอันตรายมากกว่าผลดี พวกเขาปล่อยให้ผู้ใช้ตัดสินใจได้มาก อย่างไรก็ตาม ผู้ใช้และผู้เชี่ยวชาญส่วนใหญ่ไม่เชี่ยวชาญด้านความปลอดภัย ดังนั้นพวกเขาจึงพบว่าปลั๊กอินเหล่านี้ล้นหลามและจบลงภายใต้หรือปกป้องเว็บไซต์ของตนมากเกินไป
บ่อยครั้ง ผู้ใช้กำหนดค่าปลั๊กอินความปลอดภัยที่ซับซ้อนผิดพลาด ตัวอย่างเช่น พวกเขาถูกล็อคไม่ให้เข้าเว็บไซต์ของตนเองโดยปลั๊กอินความปลอดภัย หรือรูปภาพที่เชื่อมโยงด่วนทั้งหมดจะไม่โหลดอีกต่อไป หรือปลั๊กอินความปลอดภัยบางตัวที่มีรายงานการตรวจสอบความสมบูรณ์ของไฟล์ว่าการเปลี่ยนแปลงในไฟล์บันทึกอาจเป็นอันตราย ผู้ใช้ตื่นตระหนกกับสิ่งนี้เพราะพวกเขาไม่เข้าใจว่า ตัวอย่างเช่น การเปลี่ยนแปลงในไฟล์บันทึกไม่เป็นอันตราย หรือเหตุใดรูปภาพที่เชื่อมโยงด่วนจึงไม่ทำงาน
ไตรมาสที่ 3 อะไรคือความท้าทาย / ความยากลำบากที่สุดที่คุณพบเมื่อใช้งานหรือใช้ปลั๊กอินความปลอดภัย / ผลิตภัณฑ์ / บริการ?
เกี่ยวข้องกับคำถามก่อนหน้านี้ – ความท้าทายที่ใหญ่ที่สุดที่ฉันพบเป็นการส่วนตัวคือ ฉันต้องทดสอบและตรวจสอบเครื่องมือความปลอดภัยที่ใช้บนเว็บไซต์ของลูกค้า ซึ่งฉันอาจไม่คุ้นเคย บางครั้งเราเข้าควบคุมการจัดการเว็บไซต์ของลูกค้า และต้องตรวจสอบว่าโซลูชันการรักษาความปลอดภัยทั้งหมดทำงานร่วมกันอย่างเหมาะสมโดยไม่มีฟังก์ชันทับซ้อนกัน เราต้องตรวจสอบให้แน่ใจว่าไม่มีปัญหาความเข้ากันได้ระหว่างกันเพื่อหลีกเลี่ยงพฤติกรรมที่ไม่ต้องการ เช่น การบล็อกผู้ดูแลระบบของไซต์
ไตรมาสที่ 4 คุณติดตามเว็บไซต์ความปลอดภัยใด ๆ เพื่อเรียนรู้เกี่ยวกับความปลอดภัยของ WordPress หรือคุณปล่อยให้ผู้เชี่ยวชาญทำอย่างนั้น? หรือมันเป็นบิตของทั้งสอง?
ฉันเป็นสมาชิกและผู้ดูแลระบบของกลุ่ม Facebook Security บน WordPress ไม่กี่กลุ่มที่ผู้เชี่ยวชาญด้านความปลอดภัย WP จำนวนมากโพสต์ ฉันติดตามและอ่านข่าวด้านความปลอดภัยที่เกี่ยวข้องทั้งหมดรวมถึงคำแนะนำ / แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย อย่างไรก็ตาม งานที่ซับซ้อนในการทำความสะอาดไซต์ที่ติดไวรัสที่ฉัน (ยังคง) ยังไม่เชี่ยวชาญ ในสถานการณ์เช่นนี้ ฉันพึ่งพาผู้เชี่ยวชาญ
Q5. คุณชอบใช้บริการไฟร์วอลล์ WordPress ออนไลน์หรือติดตั้งปลั๊กอินไฟร์วอลล์ WordPress บนไซต์ของคุณหรือไม่? อธิบายว่าทำไม.
ฉันชอบใช้บริการ WordPress Web Application Firewall (WAF) แบบออนไลน์ ผู้เชี่ยวชาญทุกคนกล่าวว่า WAF เป็นชั้นความปลอดภัยที่ดีกว่ามากสำหรับการโจมตีของแฮกเกอร์และ DDoS WAF สามารถตรวจจับและบล็อกสิ่งที่เป็นอันตรายก่อนที่จะถึงไซต์ของคุณ ขออภัย ปลั๊กอิน WordPress ไม่สามารถให้บริการได้ เนื่องจากพยายามปกป้องเว็บไซต์จาก ภายใน
Q6. ในความเห็นของคุณ สาเหตุสามอันดับแรกที่ทำให้ไซต์ WordPress ถูกแฮ็กคืออะไร
ฉันมีความคิดเห็นเช่นเดียวกับผู้เชี่ยวชาญคนอื่นๆ หลายคน:
- โฮสติ้งเว็บไซต์ที่ไม่ปลอดภัย,
- การใช้รหัสผ่านที่คาดเดาได้ง่ายและคาดเดาได้ง่าย
- คอร์, ธีม, ปลั๊กอิน, PHP และซอฟต์แวร์อื่น ๆ ของ WordPress ที่ล้าสมัย
หากคุณไม่สนใจว่าฉันจะเพิ่มเคล็ดลับเพิ่มเติม หากคุณสนใจเกี่ยวกับเว็บไซต์และธุรกิจของคุณ อย่าติดตั้งปลั๊กอินและธีมที่ไม่มีค่า
คำถามที่ 7: คุณคิดว่าอุตสาหกรรม / ผู้ขายความปลอดภัยของ WordPress สามารถช่วยเหลือมืออาชีพเช่นคุณซึ่งความปลอดภัยไม่ใช่ถ้วยชา เข้าใจและปกป้องเว็บไซต์ของลูกค้าได้ดีขึ้นอย่างไร
กล่าวโดยย่อคือต้องทำให้ผู้ใช้ง่ายขึ้นมาก พวกเขาสามารถทำได้โดย:
- การสร้างวิซาร์ดเพิ่มเติมเพื่อการปรับใช้เครื่องมือรักษาความปลอดภัยที่ง่ายและรวดเร็วยิ่งขึ้น
- นำ “แนวทางปฏิบัติที่ดีที่สุด” ไปใช้โดยอัตโนมัติ ผู้ใช้จึงไม่ต้องทำอะไรมาก
- ใช้ระบบเตือน ดังนั้นเมื่อมีการติดตั้งเครื่องมือรักษาความปลอดภัยบางตัวบนไซต์เดียวกันกับคุณลักษณะที่ทับซ้อนกัน ผู้ใช้จะได้รับคำแนะนำเกี่ยวกับปัญหาดังกล่าว
Q8. หากคุณสามารถเลือกคุณสมบัติความปลอดภัยหนึ่งอย่างที่จะรวมอยู่ในแกนหลักของ WordPress โดยค่าเริ่มต้น คุณลักษณะนั้นจะเป็นอะไรและเพราะเหตุใด
ฉันต้องการเห็นบริการไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF) ที่รวมอยู่ใน WordPress เพื่อให้มีชั้นการรักษาความปลอดภัยขั้นพื้นฐานเป็นอย่างน้อย ดังที่เรามีใน Windows ที่มี Windows Defender ที่ติดตั้งไว้ล่วงหน้า
Q9. มีหัวข้อหรือเนื้อหาใดที่คุณต้องการดูเพิ่มเติมจากผู้จำหน่ายความปลอดภัยและผู้เชี่ยวชาญหรือไม่?
ฉันต้องการดูกรณีการใช้งาน ในชีวิตจริง สำหรับผู้เริ่มต้นที่อธิบายว่าจะทำอย่างไรในสถานการณ์ประจำวันโดยเฉพาะเมื่อความปลอดภัยถูกละเมิด มีค่อนข้างน้อย แต่ส่วนใหญ่กำหนดเป้าหมายไปที่เจ้าหน้าที่รักษาความปลอดภัยขั้นสูง พวกเขาใช้ศัพท์แสงและเครื่องมือที่ซับซ้อน
Q10. คุณรู้สึกว่าคุณสามารถติดตามข่าวสารด้านความปลอดภัยของ WordPress ได้หรือไม่? ถ้าไม่คุณคิดว่าปัญหาคืออะไร?
ใช่ หลังจากหลายปีมานี้ ฉันรู้สึกค่อนข้างมั่นใจว่าฉันรับมือกับมันได้ เราใช้เวลาค่อนข้างนานในการทดสอบและสร้างกล่องคำสั่งผสมเครื่องมือความปลอดภัยอย่างระมัดระวัง และเพื่อให้แน่ใจว่าทุกคนในทีมของเราปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย